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Abstract of EP0466969 

A data exchange system comprises for example a terminal T and a chip card K. For different applications 
(e.g. cash dispensing machine, computer access) basic functions B stored in the chip card K are 
processed in each case in a sequence specified in a protocol. Since the basic functions B can be called 
up from the terminal T, data security could be jeopardised through specific modifications to the protocol 
development at the terminal T. By storing the permissible protocols in a control list STL and by setting up 
a status memory area ZS on the chip card K, it is possible to monitor the protocol development on the 
chip card K independently from the terminal T. The relevant status Z of an application is fixed in the status 
memory area ZS. All basic function designations Bn which are permissible for a status Z are stored in the 
control list STL. 
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© Verfahren zur Verhinderung unzulassiger Abweichungen vom Ablaufprotokoll einer Anwendung bei 
einem Datenaustauschsystem. 



© Ein Datenaustauschsystem umfajSt beispielswei- 
se ein Terminal T und eine Chipkarte K. Fur ver- 
schiedene Anwendungen (z.B. Geldautomat, Rech- 
nerzugang) werden in der Chipkarte K gespeicherte 
Basisfunktionen B in einer jeweils in einem Protokoll 
festgelegten Reihenfolge abgearbeitet. Da die Basis- 
funktionen B vom Termial T aus aufgerufen werden, 
konnte durch gezielte Anderungen des Protokollab- 
laufes am Terminal T die Datensicherheit beein- 
trachtigt werden. Durch Speichern der zulassigen 



Protokolle in einer Steuerliste STL und Einrichten 
eines Zustandsspeicherbereiches ZS auf der Chip- 
karte K wird es moglich, den Protokollablauf auf der 
Chipkarte K unabhangig vom Termina? T zu kontrol- 
lieren. Der jeweilige Zustand Z einer Anwendung 
wird im Zustandsspeicherbereich ZS fixiert. In der 
Steuerliste STL sind samtliche bei einem Zustand Z 
zulassigen Basisfunktionsbezeichnungen Bn abge- 
legt. 



CD 
CO 
<T> 

CD 
CD 



K 



S4 

EEPROM 
RAM" 



ROM 



CDF 
ISTL I 



FIG1 



E/D 




ZS 



81 


B2 


B3 


B4 


B5 


B6 




Bk 




Bn 


KA 


BTS 



Rank Xerox (UK) Business Services 



1 



EP 0 466 969 A1 



2 



Tragbare DatentrSger sind magnetische, opti- 
sche oder sonstige physikalische Speichereigen- 
schaften nutzende Objekte. Wenn diesen Datentra- 
gern Intelligenz in Form eines Mikroprozessors zu- 
geordnet ist, sind diese Datentrager besonders 
vieiseitig verwendbar und erfullen hochste Anforde- 
rungen an die Datensicherheit. Am meisten verbrei- 
tet sind diese intelligenten Datentrager in Form von 
Chipkarten. 

Die Chipkarte ist vieiseitig anwendbar, bei- 
spielsweise als bargeldloses Zahlungsmittel, als 
Personal- Oder Versicherungsausweis, als Schlus- 
sel zum Zugang zu Rechnern und fur alle sonsti- 
gen Anwendungen, bei denen die eindeutige Identi- 
fizierung eines Anwenders notwendig ist oder die 
Berechtigung eines Anwenders eine bestimmte An- 
wendung auszufuhren, nachgewiesen werden mu/J. 
Ist eine einzige Chipkarte fur mehrere solche An- 
wendungen verwendbar, so spricht man von einer 
multifunktionalen Chipkarte. Auf Grund ihres physi- 
kalischen Aufbaus - neben dem Prozessor sind auf 
dem Chip ein maskenprogrammierbarer ROM- 
Speicherbereich, ein als Arbeitsspeicher dienender 
schneller RAM-Speicherbereich und ein nicht fluch- 
tiger, prog ram mierbarer Speicherbereich 
(EEPROM-Speicherbereich) untergebracht - kon- 
nen die Chipkarten vom Kartenherausgeber durch 
entsprechende Programmierung des EEPROM- 
Speicherbereichs fur viele Anwendungen program- 
miert werden. Bei jeder Anwendung mussen ge- 
m§tf einem vorgegebenen Protokoll einige der im 
ROM-Speicherbereich abgelegten Basisfunktionen 
auf der Chipkarte abgearbeitet werden. 

Fur jede Anwendung ist im EEPROM-Speicher- 
bereich ein Anwendungsdatenfeld eingerichtet. Auf 
in einem solchen Feld eingetragene Daten kann 
eine Basisfunktion nur zugreifen, wenn diese An- 
wendung vorher aufgerufen wurde. Im Anwen- 
dungsdatenfeld konnen Daten mit unterschiedli- 
chen Zugriffsbedingungen abgelegt sein. Es kann 
beispielsweise festgelegt sein, da/3 Daten nur dann 
gelesen oder verandert werden konnen, wenn sich 
der Chipkartenbenutzer durch eine PIN-Nummer 
(personliche Identifikationsnummer) zu erkennen 
gibt. 

Die Informationen, welche Anwendung vorliegt, 
welche Basisfunktion abgearbeitet werden soil, und 
die zur Berechtigungsprufung erforderlichen Infor- 
mationen erhalt die Chipkarte durch Datenaus- 
tausch mit einem Terminal. Mit diesem Terminal ist 
die Chipkarte direkt durch elektrische Kontakte 
oder indirekt iiber optische oder induktive Koppel- 
einrichtungen verbunden. Vom Terminal aus kon- 
nen also Basisfunktionen zur Abarbeitung auf der 
Chipkarte aufgerufen werden. Die Reihenfolge, in 
der diese Basisfunktionen aufgerufen werden, wird 
demnach vom Terminal bestimmt. Da es aus si- 
cherheitstechnischen Grunden erforderlich ist, die 



Basisfunktionen in einer bestimmten Reihenfolge 
abzuarbeiten, besteht durch eine mogliche Manipu- 
lation am Terminal, durch die die Ablaufreihenfolge 
verandert werden konnte, oder durch die bestimm- 
5 te Basisfunktionen ausgelassen werden konnten, 
ein Sicherheitsrisiko. 

Der Erfindung liegt die Aufgabe zugrunde, bei 
einem Datenaustauschsystem der eingangs ge- 
nannten Art das sicherheitstechnische Risiko der 
w unzulassigen, durch Manipulation am Terminal her- 
beigeftihrten Veranderung eines Ablaufprotokolls 
einer Anwendung auszuschalten. 

Diese Aufgabe wird erfindungsgema/J durch 
die im Patentanspruch 1 angegebenen Merkmale 
75 gelost. 

Durch die Speicherung der zulassigen Proto- 
kollablaufe auf dem Datentrager selbst und der 
erfindungsgemaflen Nutzung dieser Speicherung 
im Zusammenwirken mit dem Zustandsspeicherbe- 
20 reich, wird die Sicherheit des Datenaustauschsy- 
stems zusatzlich erhoht. Der Datentrager selbst 
kann Manipulationen am Terminal erkennen und 
geeignete Gegenma/Jnahmen einleiten. Zudem 
kann das erfindungsgema/Se Verfahren fur beliebi- 
25 ge Anwendungen eingesetzt werden. 

Besondere Ausgestaltungen und Weiterbildun- 
gen des erfindungsgemaflen Verfahrens und einer 
Vorrichtung zur Durchfuhrung des Verfahrens sind 
in den Unteranspruchen angegeben. 
30 Im folgenden wird ein Ausfuhrungsbeispiel der 

Erfindung anhand der Zeichnungen naher erlautert. 
Dabei zeigen 

FIG 1 eine Datenaustauschvorrichtung zur 
Durchfuhrung des erfindungsgemafien Verfah- 
35 rens, 

FIG 2 ein Ablaufdiagramm einer Anwendung, 
FIG 3 eine Nachfolgertabelle zum Ablaufdia- 
gramm, 

FIG 4 Auszuge aus einer Steuerliste zum Ab- 
40 laufdiagramm und 

FIG 5 einen Zustandsspeicherbereich des Da- 
tentragers. 

FIG 1 zeigt ein Datenaustauschsystem, beste- 
hend aus einem vorzugsweise als Chipkarte K aus- 

45 gebildeten Datentrager und einem Terminal T. Das 
Terminal T ist ein mit einer Schnittstelle zum Da- 
tenaustausch mit einer Chipkarte K ausgestattetes 
Datenein-/ausgabegrat einer Datenverarbeitungsan- 
lage, beispielsweise ein Geldautomat, ein Konto- 

50 auszugdrucker, eine Personenidentifizierungsein- 
richtung oder auch ein entsprechend ausgerusteter 
Telefonapparat. 

Anstelle einer Chipkarte K sind auch andere 
Datentrager denkbar, die von der geometrischen 

55 Form der Chipkarte K mehr oder weniger abwei- 
chen. Matfgeblich ist lediglich, dafl der Datentrager 
einen Prozessor P und einen Speicher S enthalt. 
Im Ausfuhrungsbeispiel sind die Chipkarte K und 
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das Terminal T Uber elektrische Kontakte losbar 
miteinander verbunden. 

Der Speicher S der Chipkarte K ist in drei sich 
in der Speichertechnik unterscheidende Bereiche 
eingeteilt: Ein elektrisch losch- und wiederbe- 
schreibbarer Speicherteil EEPROM, ein schneller, 
als Arbeitsspeicher benutzter schreib- und lesbarer 
Speicher RAM und ein maskenprogrammierbarer 
Speicherbereich ROM. Gema/3 ihrer Speichereigen- 
schaften werden die drei Speicherbereiche unter- 
schiedlich genutzt Im maskenprogrammierbaren 
Speicherbereich ROM sind vom Kartenhersteller 
die anwenderunabhangigen, universell anwendba- 
ren Daten und Programme gespeichert. Unter an- 
derem sind in diesem maskenprogrammierbaren 
Speicherbereich ROM mehrere Basisfunktionen B 
mit den Basisfunktionsbezeichnungen B1...Bn, 
Krypto-Algorithmen KA beispielsweise zur Ver- 
schlusseiung der Daten beim Datenaustausch und 
ein Betriebssystem BTS der Chipkarte K eingetra- 
gen. Im schreib- und lesbaren Speicherbereich 
RAM werden solche Daten abgelegt, die wahrend 
der Dauer einer Verbindung zwischen Terminal T 
und Chipkarte K benotigt werden. Unter anderem 
sind das die Ein-/Ausgangsdaten I/O und Daten, 
die in einem Zustandsspeicherbereich ZS abgelegt 
werden. Im elektrisch schreib- und loschbaren 
Speicherbereich EEPROM werden die vom Karten- 
herausgeber festgelegten Daten gespeichert. Die- 
ser Speicherbereich EEPROM enthalt in einem so- 
genannten Gemeinschaftsdatenfeld CDF hinterlegte 
Daten, die unabhangig von einer speziellen Anwen- 
dung verwendet werden konnen und Daten, auf die 
nur bezuglich einer Anwendung zugegriffen werden 
kann. Diese anwendungsspezifischen Daten sind in 
sogenannten Anwendungsdatenfeldern ADF abge- 
legt. Das Gemeinschaftsdatenfeld CDF und die 
Andwendungsdatenfelder ADF enthalten zusatzlich 
sogenannte Steuerlisten STL, in denen jeweils min- 
destens die Ablaufreihenfolge einer Anwendung 
festgelegt ist. Eine einem bestimmten Anwen- 
dungsdatenfeld ADF zugeordnete Steuerliste STL 
kann auch aufierhalb des Anwendungsdatenfeldes 
ADF im Gemeinschaftsdatenfeld CDF gespeichert 
werden. Dies ist immer dann sinnvoli, wenn fur 
verschiedene Anwendungen die gleiche Ablaufrei- 
henfolge vorgeschrieben ist. Da die Steuerliste STL 
dann fur zwei oder mehrere solcher Anwendungen 
nur einmal gespeichert werden mu£ kann Speicher- 
platz gespart werden. 

In FIG 2 ist das Ablaufdiagramm einer Anwen- 
dung dargestellt. Ausgehend von einem Anfangszu- 
stand Z1 folgt durch Abarbeitung einer vierten Ba- 
sisfunktion B4 auf den Anfangszustand Z1 ein 
zweiter Zustand Z2. Von diesem zweiten Zustand 
Z2 ausgehend, ist alternativ die Abarbeitung zweier 
Basisfunktionen B2, B3 moglich. Mit erfolgreicher 
Abarbeitung der zweiten Basisfunktion B2 kommt 



die Anwendung in einen dritten Zustand Z3 und mit 
der erfolgretchen Abarbeitung der dritten Basis- 
funktion B3 gerat die Anwendung in einen vierten 
Zustand Z4. Vom vierten Zustand Z4 ausgehend 

s ist nur die Abarbeitung der ersten Basisfunktion B1 
erlaubt, wodurch die Anwendung in einen funften 
Zustand Z5 gerat. Von diesem funften Zustand Z5 
ausgehend, ist entweder die Abarbeitung der zwei- 
ten Basisfunktion B2 oder der dritten Basisfunktion 

io B3 zugelassen, wahrend die Abarbeitung der drit- 
ten Basisfunktion B3 zum vierten Zustand Z4 der 
Anwendung zuruckfuhrt, fuhrt die Abarbeitung der 
zweiten Basisfunktion B2 zu einem Endzustand Z6 
der Anwendung. Wenn, vom zweiten Zustand Z2 

75 ausgehend, die zweite Basisfunktion B2 abgearbei- 
tet wird, gerat die Anwendung in den dritten Zu- 
stand Z3. Von diesem Zustand Z3 ausgehend ist 
lediglich die Abarbeitung der funften Basisfunktion 
B5 zulassig, die zum Endzustand Z6 der Anwen- 

20 dung fuhrt. Zusatzlich ist bei jedem Zustand Z der 
Anwendung die Abarbeitung einer sechsten Basis- 
funktion B6 und einer schlie/tenden Basisfunktion 
BC erlaubt. Stellvertretend fur samtliche sechsten 
Basisfunktionen B6 ist diese nur beim dritten Zu- 

25 stand Z3 der Anwendung in der FIG 2 eingezeich- 
net. Die Abarbeitung der sechsten Basisfunktion B6 
fuhrt immer wieder zu dem Zustand Z zuruck, von 
dem sie ausging. Die Abarbeitung der schlieBen- 
den Basisfunktion BC fuhrt stets zur Beendigung 

30 der Anwendung. 

In FIG 3 ist eine NachfolgertabeHe abgebildet. 
In der ersten Spalte sind samtliche innerhalb der 
Anwendung moglichen Zustande Z mit den Num- 
mern 1 bis 6 eingetragen. In der zweiten Spalte ist 

35 zu jedem Zustand die Anzahl BA der zulassigen 
Basisfunktionen B eingetragen. Gemafi dem Ab- 
laufdiagramm aus FIG 2 sind dies zwei Basisfunk- 
tionen B zum ersten Zustand Z1 , drei Basisfunktio- 
nen B zum zweiten Zustand Z2, zwei Basisfunktio- 

40 nen B zum dritten Zustand Z3, zwei Basisfunktio- 
nen B zum vierten Zustand Z4, drei Basisfunktio- 
nen B zum funften Zustand Z5 und zwei Basisfunk- 
tionen B zum sechsten Zustand Z6. Da das Been- 
den einer Anwendung keinen Anwendungszustand 

45 zur Folge hat, ist die bei jedem Zustand Z mb'gli- 
che schlieflende Basisfunktion BC in der Nachfol- 
gertabeHe der FIG 3 nicht berucksichtigt. Nach der 
zweiten Spalte sind in der Tabelle mehrere Spal- 
tenpaare angegeben. Die Zahl der Spaltenpaare 

so entspricht der maximalen Anzahl BA der zulSssigen 
Basisfunktionen B, die auf einen Zustand Z folgen 
konnen. Jedes Spaltenpaar besteht aus einer Spal- 
te, in der die Nummer B1...B6 der jeweils zulassi- 
gen Basisfunktion B angegeben ist und aus einer 

55 zweiten Spalte, in die die Folgezustandsbezeich- 
nung ZF, des auf den jeweiligen Zustand Z nach 
Abarbeitung einer Basisfunktion B folgenden Zu- 
standes Z1...Z6 eingetragen ist So sind beispiels- 
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weise im zweiten Zustand Z2 drei Basisfunktionen 
B zur Abarbeitung zugelassen, namlich die zweite 
Bastsfunktion B2, die dritte Basisfunktion B3 und 
die sechste Basisfunktion B6. Auf die zweite Basis- 
funktion B2 folgt der dritte Zustand Z3, auf die 
dritte Basisfunktion B3 folgt der vierte Zustand Z4 
und auf die sechste Basisfunktion B6 folgt der 
zweite Zustand Z2. 

Die Nachfolgertabelle gemafl FIG 3 konnte in 
dieser Form zwar abgespeichert werden; diese 
Speicherform hatte aber einen hohen Aufwand bei 
der Auswertung dieser Tabelle zur Folge. Deshalb 
wird die Nachfolgetabelle in Form einer Steuerliste 
STL, wie sie in FIG 4 angegeben ist, gespeichert. 

FIG 4 zeigt ausschnittsweise eine Steuerliste 
STL, die in zwei Speicherbereiche S1 und S2 ein- 
getragen ist. Im Speicherbereich S1 sind ein Steu- 
erlistenkopf SK und ein Steuerlistenrumpf SR un- 
tergebracht und im Speicherbereich 52 ist eine 
Ausnahmenliste SA abgelegt. Der Steuerlistenkopf 
SK enthalt je einen Speicherplatz fUr eine Steuerli- 
stenkopflange SKL und fur eine Ausnahmenlisten- 
blocknummer SAN. Desweiteren enthalt der Steu- 
erlistenkopf SK nacheinander den zulassigen Zu- 
standen Z in aufsteigender Reihenfolge zugeordne- 
te Speicherplatzpaare, in die jeweils die Anzahl 
SBA der beim betreffenden Zustand Z zulassigen 
Basisfunktionen B (mit Ausnahme der Basisfunktio- 
nen B, dessen Basisfunktionsbezeichnungen Bn in 
einer Ausnahmenliste SA eingetragen sind) und ein 
Pointer SBP eingetragen sind. Dieser Pointer SBP 
zeigt auf einen Speicherplatz im Steuerlistenrumpf 
SR, an dem die zulassigen Basisfunktionen B und 
ihre Folgezustande ZF abgelegt sind. Der Steuerli- 
stenrumpf SR besteht aus Gruppen von Datentu- 
peln, wobei auf den Anfang jeder Gruppe der Poin- 
ter SBP aus dem Steuerlistenkopf SK zeigt. Ein 
solches Tupel setzt sich aus einem Speicherplatz 
fur die Bezeichnung einer Basisfunktion B und ei- 
nem Speicherplatz fur eine Folgezustandsbezeich- 
nung ZF eines zwingend auf die im Tupel bezeich- 
nete Basisfunktion B folgenden Zustandes Z zu- 
sammen. Wie die FIG 4 zeigt, sind im Steuerlisten- 
kopf SK dem ersten Zustand Z1 eine Funktionsan- 
zahl SBA1 und ein Pointer SBP1 zugeordnet. Der 
Pointer SBP1 weist auf die dem ersten Zustand Z1 
zugeordnete Gruppe im Steuerlistenrumpf SR, die 
ein Datentupel enthalt. In die Speicherplatze dieses 
Datentupels sind die Bezeichnung der vierten Ba- 
sisfunktion B4 und die Folgezustandsbezeichnung 
ZF des auf die erfolgreiche Abarbeitung der vierten 
Basisfunktion B4 folgenden zweiten Zustandes Z2 
eingetragen. Diese Eintragungen entsprechen den 
Eintragungen, die an entsprechender Stelle aus 
FIG 2 bzw. FIG 3 entnehmbar sind. 

Da zu alien ZustSnden Z der Anwendung die 
Abarbeitung der sechsten Basisfunktion B6 und die 
Abarbeitung der die Anwendung beendenden 



schlie/3enden Basisfunktion BC zulassig ist, ist es 
vorteilhaft, diese Basisfunktionen nicht im Steuerli- 
stenrumpf SR einzutragen. Durch die Einrichtung 
der Ausnahmenliste SA im zweiten Speicherbe- 

5 reich S2 konnen die Bezeichnungen der bei jedem 
Zustand Z zulassigen Basisfunktionen B6, BC spei- 
cherplatzsparend in eine Steuerliste STL eingefugt 
werden. Im Steuerlistenkopf SK ist in den Spei- 
cherplatz neben der Steuerlistenkopflange SKL 

10 eine Ausnahmenlistenblocknummer SAN eingetra- 
gen. Durch diese Nummer wird die Ausnahmenliste 
SA der Anwendung zugeordnet. Durch diese Art 
der Ausnahmenlistenzuordnung und gemeinsam 
mit der Speicherung der Ausnahmenliste SA im 

15 Gemeinschaftsdatenfeld CDF ist es auch moglich, 
eine Ausnahmenliste SA fur verschiedene Anwen- 
dungen zu verwenden. 

FIG 5 zeigt eine spezielle Ausfuhrung des Zu- 
standsspeicherbereiches ZS. Der Zustandsspeicher 

20 ZS enthalt Informationen zum Protokollablauf und 
zur Datenzugriffskontrolle. Zu den Informationen 
zum Protokollablauf gehoren die Blocknummer 
STB der Steuerliste STL, die Bezeichnung der zu- 
letzt erfolgreich abgearbeiteten Basisfunktion B, die 

25 im Basisfunktionsspeicherplatz BZ eingetragen ist 
und die Information Uber den aktuellen Protokollzu- 
stand Z, die im Protokollzustandsspeicherplatz Zi 
abgelegt ist. Die Speicherplatze zur Datenzugriffs- 
kontrolle umfassen einen Platz APIN fur die Kenn- 

30 zeichnung einer erfolgreich durchgefuhrten PIN- 
Prufung innerhalb der Anwendung, zwei Speicher- 
platze zum Ablegen der Information, ob zwei ver- 
schiedene Authentizitatsprufungen AUTH1 , AUTH2 
erfolgreich durchgefuhrt wurden, einige Reserve- 
as speicherplatze RES und einen Speicherplatz, in 
dem die Information eingetragen wird, ob eine glo- 
bale PIN-Prufung GPIN erfolgreich durchgefuhrt 
wurde. 

Im folgenden wird der Ablauf des erfindungs- 

40 gema/ten Verfahrens unter Einbeziehung der oben 
beschriebenen Vorrichtung erlautert. 

Mit dem Einstecken einer Chipkarte K in das 
Terminal T wird mittels elektrischer Kontakte oder 
gegebenenfalls auch kontaktlos eine elektrische 

45 Verbindung zwischen Terminal T und Chipkarte K 
hergestellt. Diese Verbindung wirkt sowohl hinsicht- 
lich der Stromversorgung als auch bezuglich der 
Ankopplung der Ein-/Ausgabeeinrichtungen I/O des 
Terminals T und der Chipkarte K. Durch das Ein- 

50 stecken der Chipkarte K wird der gesamte Arbeits- 
speicherbereich in einen bestimmten Zustand - 
z.B. alle Bit = 0 - zuruckgesetzt. 

Das Terminal T ist in diesem Beispiel einer 
bestimmten Anwendung - beispielsweise einem 

55 Geldautomaten einer Bank - zugeordnet. Die jewei- 
lige Art der Anwendung wird der Chipkarte K in der 
Weise mitgeteilt, da/3 das Terminal T ein spezifi- 
sches Applikationskommando an die Chipkarte K 
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ubertragt. Auf der Chipkarte K wird nun uberpruft, 
ob auf der Chipkarte K ein Anwendungsdatenfeld 
ADF fur diese spezielle Anwendung vorhanden ist. 
1st dieses Anwendungsdatenfeld ADF vorhanden, 
findet eine teilweise Initialisierung des Zustands- 
speicherbereichs ZS statt. Diese Initialisierung hat 
zur Folge, da/3 die Blocknummer STB der dieser 
Anwendung zugeordneten, im Anwendungsdaten- 
feld ADF oder im Gemeinschaftsdatenfeld CDF ver- 
merkten Steuerliste STL im Zustandsspeicherbe- 
reich ZS eingetragen wird und der Protokollzu- 
standsspeicherplatzZi, in dem der aktuelle Anwen- 
dungszustand Z eingetragen werden mufi, auf den 
ersten Zustand Z1 gesetzt wird. Desweiteren wer- 
den samtliche Bit der anwendungsbezogenen Spei- 
cherplatze zuruckgesetzt (beispielsweise 0). Die Bit 
der Speicherplatze fur globale Daten bleiben un- 
verandert 

Nach der Meldung an das Terminal T, da/3 der 
Initialisierungsvorgang abgeschlossen ist, erfolgt 
die Ubertragung eines Funktionskommandos vom 
Terminal T zur Chipkarte K, wobei dieses Funk- 
tionskommando, z.B. die vierte Basisfunktion B4 
bezeichnet und die notwendigen Eingangsdaten fur 
diese Basisfunktion B4 enthalt. Die Chipkarte K 
befindet sich auf Grund der Eintragung im Zu- 
standsspeicherbereich ZS im ersten Zustand Z1. 
Es wird nun im Steuerlistenkopf SK, der Steuerliste 
STL mit der im Zustandsspeicherbereich ZS einge- 
tragenen Blocknummer STB, dasjenige Datenpaar 
gelesen, das dem ersten Zustand Z1 zugeordnet 
ist. Im Speicherplatz SBA1 ist eingetragen, dai3 in 
diesem ersten Zustand Z1 nur eine Basisfunktion B 
zulassig ist. Der neben diesem Speicherplatz ein- 
getragene Pointer SBP1 zeigt auf die dem ersten 
Zustand Z1 zugeordnete Gruppe von Datentupeln. 
Dieses Tupel enthalt die Bezeichnung der vierten 
Basisfunktion B4 und die Bezeichnung des auf die 
vierte Basisfunktion B4 folgenden Zustandes Z2. 
Der Vergleich der vom Terminal T Ubertragenen 
Basisfunktionsbezeichnung B4 und der Basisfunk- 
tionsbezeichnung B4 P die im Datentupel des Steu- 
erlistenrumpfes SR eingetragen ist, liefert ein posi- 
tives Ergebnis. Auf Grund dieses positiven Ver- 
gleichsergebnisses wird die vierte Basisfunktion B4 
unter Verwendung der mit dem Funktionskomman- 
do ubertragenen Eingangsparameter abgearbeitet. 
Unter der Annahme, da/3 die vierte Basisfunktion 
B4, die fur die PIN-Prufung zustandige Funktion ist, 
und da/3 die PIN-Nummer vor dem Funktionsaufruf 
am Terminal T richtig eingegeben wurde, liefert die 
vierte Basisfunktion B4 das Ergebnis, daB die PIN- 
Prufung erfofgreiche vorgenommen wurde. Am Ba- 
sisfunktionsspeicherplatz BZ fur die zuletzt erfolg- 
reich ausgefuhrte Basisfunktion B des Zustands- 
speicherbereiches ZS wird die Bezeichnung der 
vierten Basisfunktion B4 eingetragen. Zusatzlich 
wird an einem der Speicherplatze APIN oder GPIN, 



beispielsweise durch Setzen eines Bit, die erfolg- 
reich ausgefuhrte PIN-Prufung vermerkt. Welches 
Bit der beiden Speicherplatze gesetzt wird hangt 
davon ab, ob mit dem glerchen Terminal T mehre- 

5 re Anwendungen realisierbar sind und davon, ob 
fur alle Anwendungen, fur die die Chipkarte K 
zugelassen ist, die gleiche PIN-Nummer erforder- 
lich ist. Da im beschriebenen Fall das Terminal T 
ausschlieClich dem Geldautomaten zugeordnet ist 

10 und damit nur eine Anwendung mit diesem Termi- 
nal T durchgefuhrt werden kann, wird der Speicher- 
platz APIN im Zustandsspeicherbereich ZS auf 1 
gesetzt. 

Der Zustand Z der Anwendung wird dadurch in 

15 den zweiten Zustand Z2 ubergefuhrt, dafi der im 
Datentupel im Steuerlistenrumpf SR neben der Ba- 
sisfunktionsbezeichnung B4 in Form einer definier- 
ten Bitfolge eingetragene Zustand Z2 in den Proto- 
kollzustandsspeicherplatz Zi des Zustandsspeicher- 

20 bereichs ZS eingetragen wird. 

Nachdem ein Antwortsignal, das dem Terminal 
T die erfolgreiche Abarbeitung der vierten Basis- 
funktion B4 signalisiert, von der Chipkarte K zum 
Terminal T ubertragen wurde, ist der erste Vorgang 

25 abgeschtossen. Die Chipkarte K ist wieder bereit, 
eine Information hier in Form eines Funktionskom- 
mandos, zu empfangen. 

Das Terminal T ubertragt nun ein zweites 
Funktionskommando zur Chipkarte K. Dieses Funk- 

30 tionskommando bezeichnet die dritte Basisfunktion 
B3 und beinhaltet die Eingangsparameter dieser 
Basisfunktion B3. Im Steuerlistenkopf SK wird das 
jeweilige Datenpaar gelesen, das dem zweiten Zu- 
stand Z2 zugeordnet ist. Im Speicherplatz SBA2, 

35 der die Anzahl der zulassigen Basisfunktionen B 
angibt stent die Zahl zwei. Der zugehorige Pointer 
SBP2 zeigt auf den ersten Speicherplatz, der dem 
zweiten Zustand Z2 zugeordneten Gruppe von Da- 
tentupeln im Steuerlistenrumpf SR. 

40 Die in dieser Gruppe eingetragenen Basisfunk- 

tionsbezeichnungen B2, B3 werden mit der Basis- 
funktionsbezeichnung B3, die mit dem Funktions- 
kommando zur Chipkarte K ubertragen wurde, ver- 
glichen. Der Vergleich fallt positiv aus, Nach erfolg- 

45 reicher Abarbeitung der dritten Basisfunktion B3 
wird die Anwendung der Chipkarte K in den Zu- 
stand Z4 versetzt. Unter der Annahme, da/3 im 
Zuge der Abarbeitung der Basisfunktion B3 auf im 
Anwendungsdatenfeld ADF abgelegte Daten zuge- 

50 griffen werden mu/3 und dieser Zugriff nur zula'ssig 
ist, wenn vorher eine PIN-Prufung erfolgreich 
durchgefuhrt wurde, werden vor Beginn der Abar- 
beitung der dritten Basisfunktion B3 die PIN-Spei- 
cherplatze APIN, GPIN im Zustandsspeicherbe- 

55 reich ZS gelesen. Nur wenn eines der beiden Bit 
auf 1 gesetzt ist, wird die dritte Basisfunktion B3 
abgearbeitet. Ist diese Abarbeitung beendet, wird in 
den Basisfunktionsspeicherplatz BZ des Zustands- 
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speicherbereichs ZS die Bezeichnung der dritten 
Basisfunktion B3 eingetragen und im Protokollzu- 
standsspeicherplatz Zi der vierte Zustand Z4 ein- 
getragen. Zusatzlich wird ein Antwortsignal zum 
Terminal T ubertragen. 

Mit dem nachsten Funktionskommando wird 
die sechste Basisfunktion B6 angefordert und die 
notwendigen Eingangsparameter zur Chipkarte K 
ubertragen. Im Steuerlistenkopf SK wird das dem 
vierten Zustand Z4 zugeordnete Datenpaar gele- 
sen. Im Speicherplatz fur die Funktionsanzahl 
SBA4 ist eine 1 eingetragen. Der Pointer SBP4 
zeigt im Steuerlistenrumpf SR auf das dem vierten 
Zustand Z4 zugeordnete Datentupel. In diesem Da- 
tentupel stent die Basisfunktionsbezeichnung B1 
der ersten Basisfunktion B und der entsprechende 
funfte Folgezustand Z5. Ein Vergleich der Basis- 
funktionsbezeichnung B1 im Steuerlistenrumpf SR 
und der zur Chipkarte K ubertragenen Basisfunk- 
tionsbezeichnung B6 liefert ein negatives Ergebnis. 
Daraufhin wird im Steuerlistenkopf SK die Ausnah- 
menlistenblocknummer SAN gelesen. Die in der 
Ausnahmenliste SA eingetragenen Basisfunktions- 
bezeichnungen B6, BC werden nun mit der zur 
Chipkarte K hin ubertragenen Basisfunktionsbe- 
zeichnung B6 verglichen. Auf Grund des positiven 
Vergleichsergebnisses und unter der Vorausset- 
zung, dal3 eventuelle Datenzugriffsbedingungen er- 
fullt sind, wird die sechste Basisfunktion B6 abge- 
arbeitet. Trotz erfolgreicher Abarbeitung wird die 
Basisfunktionsbezeichnung B6 der sechsten Basis- 
funktion B nicht im Basisfunktionsspeicherplatz BZ 
des Zustandsspeicherbereichs ZS eingetragen. Die 
Eintragung im Protokollzustandsspeicherplatz Zi 
bleibt ebenfalls unverandert. Auch jetzt erfolgt die 
Ubertragung eines Antwortsignals zum Terminal T. 

Fur den Fall, dap sich die Anwendung nach 
Abarbeitung der dritten Basisfunktion B3 im vierten 
Zustand Z4 befindet und vom Terminal T nochmals 
die dritte Basisfunktion B3 aufgerufen wird, liefern 
samtliche Vergleiche im Steuerlistenrumpf SR und 
in der Ausnahmenliste SA ein negatives Ergebnis. 
In diesem Fall findet ein weiterer Vergleich statt. 
Die zur Chipkarte K ubertragene Basisfunktionsbe- 
zeichnung B3 der dritten Basisfunktion B wird mit 
der im Zustandsspeicherbereich ZS im Basisfunk- 
tionsspeicherplatz BZ eingetragenen Basisfunk- 
tionsbezeichnung B3 verglichen. Dieser Vergleich 
liefert ein positives Ergebnis, wodurch die Abarbei- 
tung der dritten Basisfunktion B3 zugelassen wird. 
Damit ist eine Wiederholbarkeit von Basisfunktio- 
nen B gewahrleistet. 

In entsprechender Weise werden die nachfol- 
gend aufgerufenen Basisfunktionen B der Anwen- 
dungen behandelt, bis vom Terminal T die schlie- 
Bende Basisfunktion BC aufgerufen wird, die die 
Anwendung beendet. Die schliefiende Basisfunktion 
BC kann nach Abarbeitung jeder beliebigen Basis- 



funktion B aufgerufen werden, da die Basisfunk- 
tionsbezeichnung BC in der Ausnahmenliste SA 
enthalten ist. Fur den Fall, da£ keine Ausnahmenli- 
ste SA existiert, mu/S der Prozessor P fur den Fall, 

5 da/3 samtliche vorgenommenen Vergleiche negati- 
ves Ergebnis geliefert haben, uberprufen, ob die 
vom Terminal T aufgerufene Basisfunktion B die 
schlieBende Basisfunktion BC ist. Auf diese Weise 
kann sichergestellt werden, da/3 auch bei nicht vor- 

10 handener Ausnahmenliste SA die schlie/3ende Ba- 
sisfunktion BC jederzeit aufrufbar ist. 

Fuhrt keine der Vergleichsmoglichkeiten zu ei- 
nem positiven Ergebnis, dann wird dies dem Ter- 
minal T in Form einer selektiven Fehlermeldung 

75 mitgeteilt. Aus dieser selektiven Fehlermeldung 
geht beispielsweise hervor, da/3 der Grund fur die 
Zuruckweisung die Nichtzulassigkeit der Abarbei- 
tung der Basisfunktion B im vorliegenden Anwen- 
dungszustand Z ist. Andere selektive Fehlermel- 

20 dungen konnen beispielsweise anzeigen, da/3 die 
PIN-Nummer falsch eingegeben wurde oder eine 
PIN-Prufung noch nicht stattgefunden hat 

In den meisten Fallen wird es geniigen, mit 
einem Terminal T nur eine Anwendung auszufuh- 

25 ren. In diesen Fallen genugt es, wenn erst nach 
Beendigung oder Abbruch einer vorher aktivierten 
Anwendung eine weitere Anwendung aufgerufen 
werden kann. Laj3t man aber an einem Terminal T 
mehrere Anwendungen zu, dann kann es sinnvoll 

30 sein, diese Anwendungen auch ineinander ver- 
schachtelt aufzurufen. In diesen Fallen ist es dann 
moglich, nach der Ubermittlung eines Antwortsi- 
gnals von der Chipkarte K zum Terminal T, ein 
Applikationskommando noch vor Beendigung einer 

35 Anwendung zur Chipkarte K zu ubertragen. Wenn 
ein Applikationskommando vor Beendigung einer 
Anwendung die Chipkarte K erreicht, wird der Inhalt 
des Zustandsspeicherbereichs ZS und eine Kenn- 
zeichnung, die die gegenwartig laufende Anwen- 

40 dung eindeutig benennt, in einem Hilfsspeicher ab- 
gelegt Dieser Hilfsspeicher kann beispielsweise im 
Gemeinschaftsdatenfeld CDF eingerichtet sein. 
Nach Sicherung dieser Daten im Hilfsspeicher wird 
die teilweise Initialisierung des Zustandsspeicher- 

45 bereichs ZS vorgenommen. Die mit dem Applika- 
tionskommando bezeichnete eingeschobene An- 
wendung kann in oben beschriebener Weise bear- 
beitet werden. Nach Beendigung der eingeschobe- 
nen Anwendung werden die im Hilfsspeicher abge- 

50 legten Daten der unterbrochenen Anwendung wie- 
der an ihre ursprunglichen Speicherstellen zuruck- 
transferiert. Der Ablauf der vorher unterbrochenen 
Anwendung kann fortgesetzt werden. 

55 Patentanspriiche 

1. Verfahren zur Verhinderung unzulSssiger Ab- 
weichungen vom Ablauf protokol I einer Anwen- 
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dung bei einem Datenaustauschsystem, das 
mindestens aus einem Terminal (T) und nnin- 
destens einem tragbaren, mindestens einen 
Prozessor (P) und mindestens einen Speicher 
(S) enthattenden, wenigstens fur eine Anwen- 5 
dung nutzbaren Datentrager (K) besteht, mit 
folgenden Merkmalen: 

a) zum Datenaustausch wird der Datentra- 
ger (K) mit dem Terminal (T) verbunden, 
wodurch ein im Speicher (S) des Datentra- w 
gers vorhandener Zustandsspeicherbereich 

(ZS) in einen Grundzustand versetzt wird, 

b) das Terminal (T) ubermittelt an den Da- 
tentrager (K) ein Applikationskommando, 

das eine dem Terminal (T) zugeordnete An- rs 
wendung bezeichnet, 

c) das Terminal (T) ubermittelt an den Da- 
tentrager (K) ein Funktionskommando, das 
mindestens eine Basisfunktionsbezeichnung 

(Bk) einer Basisfunktion (B) enthalt, die als 20 
nachste ausgefuhrt werden soli, 

d) diese Basisfunktionsbezeichnung (Bk) 
wird im Datentrager (K) mit im Speicher (S) 
des Datentragers (K) bezuglich der vorher 
bezeichneten Anwendung gespeicherten 25 
Basisfunktionsbezeichnungen (Bn) vergli- 
chen, die im vorliegenden, durch eine Ein- 
tragung im Zustandsspeicherbereich (ZS) fi- 
xierten, Protokollzustand zulassig sind, 

e) nur bei positivem Vergleichsergebnis 30 
wird die der zum Datentr§ger (K) ubermittel- 

ten Basisfunktionsbezeichnung (Bk) zuge- 
ordnete Basisfunktion (B) im Datentrager (K) 
ausgefuhrt, 

f) nach erfolgreicher Basisfunktionsausfuh- 35 
rung 

f1) werden die im Zustandsspeicherbe- 
reich (ZS) abgelegten Daten dem neuen 
Protokollzustand angepa/St, 
f2) wird vom Datentrager (K) zum Termi- 40 
nal (T) ein Antwortsignal ubertragen, 

g) bis der Ablauf der Anwendung beendet 
ist Oder abgebrochen wird, wird vom Termi- 
nal (T), nach der Ubertragung eines Ant- 
wortsignals vom Datentrager (K) zum Termi- 45 
nal (T), durch Ubermittelung eines Funk- 
tionskommandos an den Datentrager (K) die 
nachste auszufuhrende Basisfunktion (B) 
aufgerufen. 

50 

2. Verfahren nach Anspruch 1 , dadurch gekenn- 
zeichnet, da/3 durch die Ubermittlung des 
Applikationskommandos vom Terminal (T) zum 
Datentrager (K) eine teilweise Initialisierung 

des Zustandsspeicherbereichs (ZS) ausgelost 55 
wird. 

3. Verfahren nach mindestens einem der vorher- 



gehenden Anspruche, dadurch gekennzelch- 
net, da/3 die Obermittlung des Applikations- 
kommandos vom Terminal (T) zum Datentra- 
ger (K) die Eintragung einer Blocknummer 
(STB) im Zustandsspeicherbereich (ZS) be- 
wirkt und da/3 diese Blocknummer (STB) den 
Platz im Speicher (S) des Datentragers (K) 
bezeichnet, an dem die bei der mit dem Appli- 
kationskommando bezeichneten Anwendung 
im jeweils vorliegenden Protokollzustand (Z) 
zulassigen Basisfunktionsbezeichnungen (Bn) 
abgelegt sind. 

4. Verfahren nach mindestens einem der vorher- 
gehenden Anspruche, dadurch gekennzeich- 
net, da/3 die Ubertragung einer Information 
vom Terminal (T) zum Datentrager (K) nur 
dann erfolgen kann, wenn vorher ein Antwortsi- 
gnal vom Datentrager (K) zum Terminal (T) 
ubermittelt wurde. 

5. Verfahren nach mindestens einem der vorher- 
gehenden Anspruche, dadurch gekennzeich- 
net, dap durch Ubermittlung eines Applika- 
tionskommandos vom Terminal (T) zum Daten- 
trager (K) erst nach Beendigung Oder Abbruch 
einer vorher aktivierten Anwendung eine weite- 
re Anwendung aufgerufen werden kann. 

6. Verfahren nach mindestens einem der Anspru- 
che 1 bis 4, dadurch gekennzeichnet, da/3 
bei Ubermittlung eines Applikationskomman- 
dos vor Beendigung einer Anwendung minde- 
stens der Inhalt des Zustandsspeicherbereichs 
(ZS) in einem Hilfsspeicher abgelegt wird, da/3 
danach die teilweise Initialisierung des Zu- 
standsspeicherbereichs (ZS) erfolgt und da/3 
nach erfolgter Initialisierung die mit dem Appli- 
kationskommando bezeichnete eingeschobene 
Anwendung bearbeitet wird. 

7. Verfahren nach Anspruch 6, 

dadurch gekennzeichnet, da/3 nach Beendi- 
gung der eingeschobenen Anwendung die im 
Hilfsspeicher abgelegten, der unterbrochenen 
Anwendung zugeordneten Daten wreder an 
ihre ursprunglichen Speicherstellen zuruck- 
transferiert werden und da/3 der Ablauf der 
unterbrochenen Anwendung fortgesetzt wird. 

8. Verfahren nach einem der vorhergehenden An- 
sprUche, dadurch gekennzeichnet, da/3 zu- 
satzlich zur Basisfunktionsbezeichnung (Bk) im 
Funktionskommando enthaltene Basisfunk- 
tionseingangsparameter an den Datentrager 
(K) ubermittelt werden. 

9. Verfahren nach mindestens einem der Anspru- 
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che 3 bis 8, dadurch gekennzeichnet, da/3 
nach Erhalt eines Funktionskommandos Uber- 
pruft wird, ob eine Blocknummer (STB) im 
Zustandsspeicherbereich (ZS) eingetragen ist. 

10. Verfahren nach einem der vorhergehenden An- 
sprUche, dadurch gekennzeichnet, da/3 ein 
erster Speicherbereich (S1) des Speichers (S) 
daraufhin uberpruft wird, ob eine Eintragung 
zum vorliegenden Protokollzustand (Z) der mit 
dem Applikationskommando bezeichneten An- 
wendung in diesem ersten Speicherbereich 
(S1) vorhanden ist. 

11. Verfahren nach Anspruch 10, dadurch ge- 
kennzeichnet, da/3 im Falle einer vorhande- 
nen Eintragung zum vorliegenden Protokollzu- 
stand (Z) die bezuglich dieses Protokollzustan- 
des (Z) im ersten Speicherbereich (S1) gespei- 
cherten Basisfunktionsbezeichnungen (Bn) mit 
der, mit dem Funktionskomrnando zum Daten- 
trager (K) ubermittelten Funktionsbezeichnung 
(Bk) verglichen werden. 

12. Verfahren nach mindestens einem der Anspru- 
che 10 oder 11, dadurch gekennzeichnet, 
da/3 im Falle einer fehlenden Eintragung zum 
vorliegenden Protokollzustand (Z) bzw. einer 
Nichtubereinstimmung der ubermittelten und 
der gespeicherten Basisfunktionsbezeichnun- 
gen (Bk.Bn) im ersten Speicherbereich (S1) in 
einem zweiten Speicherbereich (S2) des Spei- 
chers (S) uberpruft wird, ob die zum Datentra- 
ger (K) ubermittelte Basisfunktionsbezeichnung 
(Bk) in diesem zweiten Speicherbereich (S2) 
bezuglich der mit dem Applikationskommando 
bezeichneten Anwendung, unabha'ngig vom 
vorliegenden Protokollzustand (Z) eingetragen 
ist. 

13. Verfahren nach mindestens einem der vorher- 
gehenden Anspruche 10 bis 12, dadurch ge- 
kennzeichnet, da/3 im Falle einer fehlenden 
Eintragung zum vorliegenden Protokollzustand 
Z bzw. einer Nichtubereinstimmung der uber- 
mittelten und der gespeicherten Basisfunk- 
tionsbezeichnung (Bk, Bn) sowohl im ersten 
Speicherbereich (S1) als auch im zweiten 
Speicherbereich (S2) uberpruft wird, ob die 
ubermittelte Basisfunktionsbezeichnung(Bk) die 
Basisfunktionsbezeichnung (BC) fur die schlie- 
/3ende Basisfunktion (B) ist. 

14. Verfahren nach mindestens einem der vorher- 
gehenden Anspruche, dadurch gekennzeich- 
net, da/3 nach erfolgreicher Ausfuhrung einer 
Basisfunktion (B) die Bezeichnung dieser Ba- 
sisfunktion (B) in einem Basisfunktionsspei- 



cherplatz (BZ) des Zustandsspeicherbereichs 
(ZS) eingetragen wird. 

15. Verfahren nach mindestens einem der Ansprii- 
5 che 10 bis 14, dadurch gekennzeichnet, daft 

bei Nichtubereinstimmung der zum Datentra- 
ger (K) ubermittelten Basisfunktionsbezeich- 
nung (Bk) mit den entsprechenden Eintragun- 
gen im Speicher (S) diese ubermittelte Basis- 
70 funktionsbezeichnung (Bk) mit der im Basis- 

funktionsspeicherplatz (BZ) des Zustandsspei- 
cherbereichs (ZS) vermerkten Bezeichnung 
der zuletzt erfolgreich ausgefuhrten Basisfunk- 
tion (B) verglichen wird. 

15 

16. Verfahren nach mindestens einem der vorher- 
gehenden Anspruche, dadurch gekennzeich- 
net, da/3 zu einer Basisfunktionsausfuhrung 
eventuell erforderliche, im Zustandsspeicher- 

20 bereich (ZS) abgelegte Zugriffsrechte auf Da- 

ten im Datentrager (K) uberpruft werden. 

17. Verfahren nach mindestens einem der Anspru- 
che 10 bis 16, dadurch gekennzeichnet, da/3 

25 eine im ersten Speicherbereich (S1) in Verbin- 

dung mit einer gespeicherten Basisfunktions- 
bezeichnung (Bn) abgelegte Folgezustandsbe- 
zeichnung (ZF), nach erfolgreicher Ausfuhrung 
dieser der gespeicherten Basisfunktionsbe- 

30 zeichnung (Bn) zugeordneten Basisfunktion 

(B), im Protokollzustandsspeicherplatz (Zi) des 
Zustandsspeicherbereichs (ZS) eingetragen 
wird. 

35 18. Verfahren nach mindestens einem der vorher- 
gehenden Anspruche, dadurch gekennzeich- 
net, daJ3 nach erfolgreicher Basisfunktionsaus- 
fuhrung zur Anpassung an den neuen Proto- 
kollzustand (Z) Informationen zum Protokollab- 

40 lauf und/oder zur Datenzugriffskontrolle im Zu- 

standsspeicherbereich (ZS) eingetragen wer- 
den. 

19. Verfahren nach Anspruch 18, dadurch ge- 
45 kennzeichnet, da/3 die Informationen zur Da- 

tenzugriffskontrolle getrennt nach anwendungs- 
bezogenen und globalen Daten im Zustands- 
speicherbereich (ZS) eingetragen werden. 

so 20. Verfahren nach mindestens einem der vorher- 
gehenden Anspruche, dadurch gekennzeich- 
net, da/3 bei negativem Vergleichsergebnis 
eine selektive Fehlermeldung vom Datentrager 
(K) zum Terminal (T) ubermittelt wird. 

55 

21. Vorrichtung zur Durchfuhrung des Verfahrens 
nach mindestens einem der Ansprdche 1 bis 
20, bei der der Speicher (S) in einen gemein- 
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schaftliche und anwendungsbezogene Daten 
enthaitenden Datenspeicher (EEPROM), einen 
auch eine EirWAusgangsschnittstelle (I/O) be- 
dienenden Arbeitsspeicher (RAM) und einen 
ein Betriebssystem (BTS) und mehrere Basis- 
funktionen (B) enthaitenden Maskenspeicher 
(ROM) eingeteilt ist, dadurch gekennzeich- 
net, da/3 der Datenspeicher (EEPROM) fiir 
jede mogliche Anwendung eine die Zulassigen 
Protokollablaufe enthaltende Steuerliste (STL) 
enthalt und da/3 im Arbeitsspeicher (RAM) der 
die jeweiiigen Protokollzustande (Z) aufneh- 
mende Zustandsspeicher (ZS) enthalten ist. 

22. Vorrichtung nach Anspruch 21, dadurch ge- 
kennzeichnet, da/3 die Steuerliste (STL) in 
einen Steuerlistenkopf (SK) und einen Steuerli- 
stenrumpf (SR) aufgeteilt ist. 

23. Vorrichtung nach Anspruch 22, dadurch ge- 
kennzeichnet, da/3 im Steuerlistenkopf (SK) 
linear nacheinander die SteuerlistenkopflSnge 
(SKL) und ftir jeden bei der Anwendung mogli- 
chen Zustand (Z), beginnend mit dem ersten 
Zustand (Z1) ein Datenpaar gespeichert ist, 
das aus einer die beim jeweiiigen Zustand (Z) 
ausfuhrbare Basisfunktionsanzahl (SB A) ange- 
benden Information und aus einem auf eine 
Speicherstelle im Steuerlistenrumpf (SR) wei- 
senden Pointer (SBP) besteht 

24. Vorrichtung nach mindestens einem der An- 
spruche 22 oder 23, dadurch gekennzeich- 
net, da/3 der Steuerlistenrumpf (SR) wenig- 
stens aus einer, aus jeweils mindestens einem 
Datentupel bestehenden, jeweils einem Zu- 
stand (Z) Zugeordneten Gruppe besteht und 
da/3 die Datentupel jeweils aus einer gespei- 
cherten Basisfunktionsbezeichnung (Bn) und 
einer Folgezustandsbezeichnung (ZF) beste- 
hen. 

25. Vorrichtung nach mindestens einem der An- 
spruche 23 oder 24, dadurch gekennzeich- 
net, da/3 der einem bestimmten Zustand (Z) 
zugeordnete Pointer (SBP) jeweils auf den Be- 
ginn einer dem gleichen Zustand (Z) Zugeord- 
neten Gruppe im Steuerlistenrumpf (SR) zeigt. 

26. Vorrichtung nach mindestens einem der An- 
spruche 21 bis 25, dadurch gekennzeichnet, 

daJ3 einer Steuerliste (STL) eine Ausnahmenli- 
ste (SA) zugeordnet ist. 

27. Vorrichtung nach Anspruch 26, dadurch ge- 
kennzeichnet, da/3 im Steuerlistenkopf (SK) 
unmittelbar nach der SteuerlistenkopflMnge 
(SKL) eine Ausnahmenlistenblocknummer 



(SAN) eingetragen ist, die direkt oder indirekt 
den Speicherplatz angibt, an dem die Ausnah- 
menliste (SA) gespeichert ist. 

5 28. Vorrichtung nach mindestens einem der An- 
spruche 26 oder 27, dadurch gekennzeich- 
net, da/5 in der Ausnahmenltste (SA) nachein- 
ander die Basisfunktionsbezeichnungen (Bn) 
der Basisfunktionen (B) angegeben sind, die 

w unabhangig vom vorliegenden Protokollzustand 

jederzeit ausfuhrbar sind. 

29. Vorrichtung nach mindestens einem der vor- 
hergehenden Anspruche 21 bis 28, dadurch 
15 gekennzeichnet, da/3 im Zustandsspeicherbe- 

reich (ZS) Speicherplatze fur bestimmte Infor- 
mationen zum Protokollablauf und/oder zur Da- 
tenzugriffskontrolle vorhanden sind. 

20 30. Vorrichtung nach Anspruch 29, dadurch ge- 
kennzeichnet, daJ5 im Zustandsspeicherbe- 
reich (ZS) zum Protokollablauf je ein Speicher- 
platz ftir die Blocknummer (STB) der der vor- 
liegenden Anwendung zugeordneten Steuerli- 

25 ste (STL), ein Basisfunktionsspeicherplatz (BZ) 

fur die Basisfunktionsbezeichnung (Bk) der zu- 
letzt erfolgreich ausgefuhrten Basisfunktion (B) 
und ein Protokollzustandsspeicherplatz (Zi) fur 
den Protokollzustand (Z) nach der zuletzt er- 

30 folgreich ausgefuhrten Basisfunktion (B) vor- 

handen ist. 

31. Vorrichtung nach mindestens einem der vor- 
hergehenden Anspruche 29 oder 30, dadurch 

35 gekennzeichnet, dad die im Zustandsspei- 

cherbereich (ZS) vorhandenen Speicherplatze 
zur Datenzugriffskontrolle in globale und in an- 
wendungsbezogene Speicherplatze aufgeteilt 
sind. 

40 

32. Vorrichtung nach Anspruch 31, dadurch ge- 
kennzeichnet, da/3 je ein Speicherplatz fiir 
das anwendungsbezogene Speichern einer 
durchgefuhrten PIN-Prufung (PIN) fur einige 

45 sich voneinander unterscheidende durchge- 

fuhrte Authentizitatsprufungen (AUTH1 ,AUTH2) 
und ein globaler Speicherplatz fiir das Spei- 
chern einer durchgefuhrten PIN-Prufung 
(GPIN) vorhanden sind. 

50 
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